La vulnerabilidad CVE-2024-5628 afecta al plugin Avada | Constructor de Sitios Web para WordPress y eCommerce en versiones hasta la 3.11.9, permitiendo a atacantes autenticados realizar ataques de Cross-Site Scripting (XSS) a través del shortcode fusion_button del plugin.
El plugin Avada es vulnerable a Cross-Site Scripting almacenado debido a una sanitización insuficiente de la entrada y falta de escapado en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados con nivel de acceso de colaborador y superior inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a la página infectada. Es importante destacar que si bien esta vulnerabilidad se parcheó parcialmente en la versión 3.11.9, se han añadido medidas adicionales de protección en la versión 3.11.10 para minimizar otros vectores de ataque.
Para mitigar el riesgo de esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin Avada a la última versión disponible (3.11.10) e implementar medidas adicionales de seguridad, como limitar el acceso de los usuarios a roles con los permisos mínimos necesarios en el sitio de WordPress.